Compartilhamento de tecnologia

Anti-leeching do Apache, compactação de páginas da web, cache de páginas da web

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Índice

Compressão de página da web

tipo

Exemplo

Adicionar dinamicamente etapas de operação do módulo

Etapas para reinstalar o Apache

cache da web

Exemplo

Passos

Ocultar informações da versão

Passos

Apache anti-sanguessuga

definição

princípio

Configurar ambiente experimental anti-hotlink

ambiente de laboratório

Exemplo de hotlinking de imagem local

Passos

Exemplo de anti-hotlink

Passos

Compressão de página da web

A velocidade de acesso de um site é determinada por vários fatores, incluindo a velocidade de resposta da aplicação, largura de banda da rede, desempenho do servidor, velocidade de transmissão da rede com o cliente, etc. Um dos fatores mais importantes é a capacidade de resposta do próprio Apache. Você pode usar a compactação da web para aumentar a velocidade do seu aplicativo. Mais importante ainda, não custa nada e aumentará apenas ligeiramente o uso da CPU do servidor em um ou dois pontos percentuais ou menos.

tipo

  • gzip
    • Alta eficiência de compactação, alto uso de CPU
  • desinflar
    • A eficiência da compactação não é tão alta quanto o gzip e consome menos CPU.

Exemplo

Compressão de página da Web por meio do módulo deflate

Se você já instalou o Apache por meio do pacote de código-fonte, se ainda mantiver o pacote de código-fonte, poderá reconfigurá-lo, compilá-lo e instalá-lo. A reinstalação do Apache não afetará os parâmetros anteriores.

Ou se você configurou a função de carregamento dinâmico de módulos durante a última instalação, você pode usar as ferramentas apxs para adicionar módulos dinamicamente sem reinstalar.

Adicionar dinamicamente etapas de operação do módulo

Adicione dinamicamente o módulo deflate sem reinstalar o Apache

cd para o servidor HTTP Apache para armazenar o código do módulo relacionado aos filtros

Use a ferramenta apxs para operar

  • -i: Instale o módulo. Instale o módulo compilado no servidor Apache.
  • -c: Módulo de compilação. Compile o arquivo de código-fonte (aqui mod_deflate.c) em um arquivo de objeto compartilhado (arquivo .so).
  • -a: Ativa automaticamente o módulo. Após compilar e instalar o módulo, habilite-o imediatamente, sem necessidade de editar manualmente o arquivo de configuração.

Finalmente, use o comando apachectl com pipes e grep para verificar se o módulo deflate foi carregado com sucesso.

  1. [root@localhost filters]# cd /root/httpd-2.4.25/modules/filters/
  2. [root@localhost filters]# apxs -i -c -a mod_deflate.c
  3. [root@localhost filters]# apachectl -t -D DUMP_MODULES | grep deflate
  4.  deflate_module (shared)

Habilite o módulo mod_deflate no arquivo de configuração httpd

  1. [root@localhost filters]# vim /usr/local/httpd/conf/httpd.conf
  2. 在末行模式下搜索:/deflate
  3. LoadModule deflate_module     modules/mod_deflate.so    # 去掉开头注释
  4. <IfModule mod_deflate.c>
  5.     # 对指定的类型应用deflat进行压缩(文本、样式表、图像)
  6.     AddOutputFilterByType DEFLATE text/html text/css text/jpg text/png text/gif
  7.     DeflateCompressionLevel 9    # 指定了压缩级别为9,表示最高级别的压缩(压缩比最高,但消耗CPU资源较多)
  8.     SetOutputFilter DEFLATE    # 指定默认的输出过滤器为deflate进行输出内容的压缩
  9. </IfModule>

Etapas para reinstalar o Apache

Adicione o módulo deflate reinstalando diretamente o Apache

Use primeiroapachectl -t -D DUMP_MODULES | grep deflateComando para verificar se o Apache possui atualmente o módulo deflate

Se o Apache estiver habilitado, usesystemctl parar httpdFechar serviço

Insira o diretório de descompactação do pacote de código-fonte, especifique o diretório de instalação e habilite algumas funções. O módulo deflate é usado para compactação de páginas da web.

./configurarApós o processamento, usefazer && fazer instalarComando para compilar e instalar

  1. [root@localhost httpd-2.4.25]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate
  2. [root@localhost httpd-2.4.25]# make && make install

Use o comando ll para verificar se o módulo deflate está habilitado. Você pode ver se o arquivo mod_deflate.so existe.

  1. [root@localhost httpd-2.4.25]# ll /usr/local/httpd/modules/mod_deflate.so 
  2. -rwxr-xr-x 1 root root 53096 7月  10 20:43 /usr/local/httpd/modules/mod_deflate.so

Mas useapachectl -t -D DUMP_MODULES | grep deflateO comando não pode ser consultado porque não está habilitado no arquivo de configuração do Apache.

Edite o arquivo de configuração principal do httpd. Por volta da linha 143, você pode ver que existem muitos.Módulo de Cargainstruções, adicionaremos novas instruções de carregamento de módulo abaixo desses LoadModules.

Na segunda parte da instrução de carregamento do módulo, você pode usar um caminho absoluto ou um caminho relativo. Porque ao instalar o Apache, a regra de prefixo (prefixo) é definida por meio do script ./configure, então você deseja especificar um determinado em. o arquivo de configuração do Apache O caminho para o arquivo, o caminho do prefixo pode ser omitido.

A tag IfModule é usada para carregar condicionalmente a configuração do módulo. Sua função é verificar se o módulo especificado está carregado no ambiente Apache atual. Somente quando o módulo for carregado, as instruções de configuração contidas na tag IfModule entrarão em vigor.

  1. [root@localhost httpd-2.4.25]# vim /usr/local/httpd/conf/httpd.conf
  2.  
  3. LoadModule deflate_module modules/mod_deflate.so
  4. <IfModule mod_deflate.c>    # 只有当 mod_deflate 模块加载时才会执行下面的配置
  5.     DeflateCompressionLevel 6 # 压缩级别,数字越大压缩比就越大
  6.     SetOutputFilter DEFLATE   # 启用deflate模块
  7.     # 告诉服务器对哪些文件进行压缩,如果是已经压缩过的,就不再压缩
  8.     AddOutputFilterByType DEFLATE text/html text/plain text/xml text/csstext/javascript application/x-javascript application/javascript application/json
  9.     SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png)$ no-gzip dont-vary
  10.     SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
  11.     SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary
  12.     AddOutputFilterByType DEFLATE text/*
  13.     AddOutputFilterByType DEFLATE application/ms* application/vnd* application/postscript application/javascript application/x-javascript
  14.     AddOutputFilterByType DEFLATE application/x-httpd-php application/x-httpd-fastphp
  15. </IfModule>

Salve e saia, você pode usarhttpd -tPara detectar se há erros de sintaxe no arquivo de configuração Se solicitar Sintaxe OK, significa que não há erros.

Como o httpd precisa recarregar o arquivo de configuração modificado para que a configuração recém-adicionada tenha efeito, reinicie o serviço.

Neste momento, acesse o servidor web no navegador, pressione F12 no teclado para abrir as ferramentas do desenvolvedor, selecione o endereço IP do servidor web, e você poderá ver no cabeçalho da resposta que a tecnologia de compactação é gzip

A experiência termina

cache da web

O cache de páginas da Web consiste em armazenar em cache algumas páginas que muitas vezes não mudam ou raramente mudam. Na próxima vez que o navegador acessar essas páginas novamente, não haverá necessidade de baixá-las novamente, melhorando assim a velocidade de acesso do usuário. O módulo mod_expires do Apache irá gerar automaticamente a tag Expires e a tag Cache-Control nas informações do cabeçalho da página. Com base nas tags, o navegador cliente decide obter a página no cache da máquina local para a próxima visita, sem fazer outra solicitação para. o servidor Reduzir a frequência e o número de acessos de clientes para atingir o objetivo de reduzir o tráfego desnecessário e aumentar a velocidade de acesso.

Exemplo

Implementar cache de páginas da web

Passos

Abra o arquivo de configuração principal httpd, habilite o módulo expires, adicione-o e reinicie o serviço.

  1. [root@localhost httpd-2.4.25]# vim /usr/local/httpd/conf/httpd.conf
  2. 在末行模式搜索:/expires_module
  3. 将前面的注释去掉,开启expires模块
  4. LoadModule expires_module modules/mod_expires.so
  5. <IfModule mod_expires.c>
  6.     ExpiresActive On    # 开启缓存功能
  7.     ExpiresDefault "access plus 60 seconds"    # 缓存时间设置为60秒
  8. </IfModule>
  9.  
  10. 检测语法正确性,重启服务
  11.  [root@localhost httpd-2.4.25]# httpd -t
  12. Syntax OK
  13. [root@localhost httpd-2.4.25]# systemctl restart httpd

Após reiniciar o serviço, acesse o navegador para acessar o servidor web e você verá que há mais duas linhas de informações no cabeçalho da resposta.

Ocultar informações da versão

As informações de vulnerabilidade do software estão relacionadas a uma versão específica, portanto, o número da versão é muito útil para os invasores. Nas ferramentas do desenvolvedor no navegador, você pode ver as informações da versão do Apache no item do servidor no cabeçalho da resposta.

Se um invasor de rede obtiver informações sobre a versão do Apache, ele realizará ataques direcionados e causará perdas ao site. Portanto, no ambiente de produção real, o número da versão do Apache deve ser ocultado para reduzir o risco de ataques.

Passos

  1. [root@localhost httpd-2.4.25]# vim /usr/local/httpd/conf/httpd.conf
  2. 在末行模式下搜索:/httpd-default
  3. 将Include语句前的注释去掉,表示包含Include语句后面指定的文件在当前文件中(相当于把指定文件的内容复制粘贴到当前文件的当前Include语句的位置)
  4. # Various default settings
  5. Include conf/extra/httpd-default.conf

Salve e saia, abra o arquivo httpd.default

  1. [root@localhost httpd-2.4.25]# vim /usr/local/httpd/conf/extra/httpd-default.conf
  2. 在第55行就可以设置隐藏版本信息,这里改为Prod
  3. ServerTokens Prod

Você pode ver que as opções são fornecidas nos comentários:Definir como um dos seguintes: Completo | SO | Secundário | Mínimo | Principal | Prod

Opções

ilustrar

Tokens de Servidor Completos

Retorna as informações mais detalhadas do servidor, incluindo o tipo de sistema operacional e a lista de módulos compilada.

Por exemplo: Apache/2.4.41 (Unix) OpenSSL/1.1.1d PHP/7.3.11

ServerTokens SO

Somente o tipo de sistema operacional é retornado.

Por exemplo: Apache/2.4.41 (Unix)

ServerTokens Menor

Retorna os números das versões principais e secundárias.

Por exemplo: Apache/2.4

Tokens de Servidor Mínimos

Retorna o número da versão principal.

Por exemplo: Apache/2

ServerTokens Principais

Somente o número da versão principal é retornado.

Por exemplo: Apache/2

Tokens de Servidor Produção

Retorna informações mínimas, mostrando apenas o Apache, omitindo o número da versão.

Por exemplo: Apache

Salve e saia, reinicie o serviço.Acesse o servidor web

Você pode ver que as informações da versão mostram apenas um Apache

Apache anti-sanguessuga

O hotlinking do Apache é uma medida de proteção que evita que outros sites ou terceiros não autorizados criem links diretos para imagens, vídeos, áudios ou outros recursos em seu site.

Quando um site usa recursos diretamente do seu site, ele está, na verdade, consumindo sua largura de banda e recursos do servidor, possivelmente sem sua permissão.

definição

  • Anti-hotlinking refere-se à proibição de sites externos ou terceiros não autorizados de usarem diretamente links de recursos em seu site por meio da configuração do servidor. Se alguém tentar usar o link do seu recurso diretamente na página, os visitantes verão um problema nessa página em que o recurso não pode ser carregado ou aparecerá conteúdo alternativo.

princípio

  • Verificação do Referer HTTP: O servidor determina a origem da solicitação de recurso verificando o cabeçalho do Referer na solicitação HTTP. Caso seja constatado que o Referer não é de uma fonte que você permite (como seu próprio site), o servidor pode se recusar a fornecer o recurso ou retornar conteúdo alternativo.
  • Regras de reescrita: use as regras de reescrita do Apache para reescrever solicitações, verificar o cabeçalho Referer e, em seguida, decidir se deseja fornecer recursos ou rejeitar a solicitação com base nas configurações.

Configurar ambiente experimental anti-hotlink

Nome da CPU

nome do domínio

endereço de IP

sistema operacional

Principais softwares e versões

apache1

www.e1.com

192.168.10.101

CentOS 7.9

httpd-2.4.25.tar.gz

apache2

www.e2.com

192.168.10.201

CentOS 7.9

instalação httpd-2.4.25.tar.gz ou yum

cliente

Windows 10

Navegador

ambiente de laboratório

Clone o primeiro servidor diretamente ou use yum -y install httpd para instalar o httpd e altere o endereço IP para 192.168.10.102

Modifique os nomes de host dos dois servidores

  1. 101主机
  2. [root@localhost ~]# hostname apache1
  3. [root@localhost ~]# bash
  4. [root@apache1 ~]#
  5. 201主机
  6. [root@localhost ~]# hostname apache2
  7. [root@localhost ~]# bash
  8. [root@apache2 ~]#

Modifique os arquivos hosts dos dois servidores web para que eles possam resolver os nomes de domínio correspondentes.

Siga as mesmas etapas abaixo para modificar o host 201

  1. [root@apache1 ~]# vim /etc/hosts
  2. 在hosts文件末尾追加
  3. 192.168.10.101 www.e1.com
  4. 192.168.10.201 www.e2.com

Para o arquivo hosts do host do cliente Win10, em C:WindowsSystem32driversetc, clique duas vezes no arquivo hosts para abri-lo com o Bloco de Notas.

Desligue o firewall e o mecanismo de segurança do kernel dos dois servidores Web, habilite o serviço httpd e tente ver se você consegue acessar os dois servidores Web no host do cliente.

  1. 在两个Web服务器操作
  2. [root@apache1 ~]# systemctl start httpd
  3. [root@apache1 ~]# setenforce 0

Exemplo de hotlinking de imagem local

101 host é meu site e preciso roubar as fotos no servidor web 201 host.

Ou seja, www.e1.com rouba o link da imagem de www.e2.com

Passos

Venha para o anfitrião 201

Digite o diretório onde o httpd armazena os arquivos da página da web, arraste uma imagem e edite o arquivo index.html.

  1. [root@apache2 ~]# cd /usr/local/httpd/htdocs/
  2. 在该目录下从宿主机拖入一张图片
  3. [root@apache2 htdocs]# vim index.html
  4. <html>
  5.     <head>
  6.     <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  7.     <title>标题</title>
  8. </head>
  9. <body>
  10.     <h1>原图网站</h1>
  11.     <img src="logo.jpg" />    # 如果图片文件是在网页文件同一目录下,可以不用加路径
  12. </body>
  13. </html>

Salve e saia. Neste momento, use o navegador para visitar www.e2.com na máquina host e você verá que há fotos na página da web.

Se quiser roubar imagens de outros sites, você precisa de um link para a imagem. Clique com o botão direito na imagem no navegador e selecione Copiar link da imagem.

Venha para 101 Host

Adicione um link para a imagem na página inicial do servidor 101Web

  1. [root@apache1 ~]# cd /var/www/html    # 使用yum安装httpd的存放网页文件的目录
  2. [root@apache1 html]# vim index.html
  3. <html>
  4.     <head>
  5.     <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  6.     <title>标题</title>
  7. </head>
  8. <body>
  9.     <h1>盗图网站</h1>
  10.     <img src="http://www.e2.com/logo.jpg" />
  11. </body>
  12. </html>

Salve e saia, vá para o host do cliente Win10 e visite os dois URLs www.e1.com e www.e2.com

Use F12 para abrir as ferramentas do desenvolvedor. Você pode ver na rede que o URL de solicitação e os links de imagem de www.e2.com são do próprio www.e2.com.

O URL de solicitação de www.e1.com é www.e1.com, mas a solicitação de imagem é o IP do host www.e2.com + link da imagem

Até agora, um hotlinking de imagem local simples foi implementado.

Exemplo de anti-hotlink

Se outro host roubar o link da imagem do host 201, apenas a imagem fixa será exibida em vez da imagem que a outra parte deseja roubar.

Passos

Importe outra imagem (error.jpg) para o diretório htdocs do host 201 (www.e2.com) que fornece a imagem original para experimentos anti-leeching.

Em seguida, edite o arquivo de configuração do httpd e habilite o módulo de reescrita (reescrita de endereço). O objetivo da reescrita é que se alguém solicitar meu logo.jpg, redirecione a solicitação para error.jpg.

Com a função de reescrita de endereço, a solicitação pode ser revisada e julgada. Caso a solicitação seja prefixada por www.e2.com, o acesso será permitido. Caso o prefixo da solicitação não seja www.e2.com, o acesso à imagem será. não ser permitido.

  1. [root@apache2 htdocs]# vim /usr/local/httpd/conf/httpd.conf
  2. 在末行模式下搜索:/rewrite
  3. LoadModule rewrite_module modules/mod_rewrite.so # 将开头注释去掉,启用rewrite模块
  4.  
  5. 在末行模式下搜索:/htdocs
  6. 在<Directory "/usr/local/httpd/htdocs">标签内往下翻
  7. 找到AllowOverride参数的行,修改内容为下方内容
  8.     AllowOverride None
  9.     RewriteEngine On
  10.     RewriteCond %{HTTP_REFERER} !^http://e2.com$ [NC]
  11.     RewriteCond %{HTTP_REFERER} !^http://e2.com/.*$ [NC]
  12.     
  13.  
  14.     RewriteCond %{HTTP_REFERER} !^http://www.e2.com$ [NC]
  15.     RewriteCond %{HTTP_REFERER} !^http://www.e2.com/.*$ [NC]
  16.     RewriteRule .*.(gif|jpg|swf)$ http://www.e2.com/error.png

parâmetro

ilustrar

PermitirSubstituir TODOS

Permitir RewriteEngine e outras regras de reescrita em arquivos .htaccess.

ALL: Permite que todos os tipos de diretivas de reescrita sejam substituídas por regras no arquivo .htaccess.

Nenhum: não permite o uso de arquivos .htaccess neste diretório para substituir a configuração do servidor

RewriteEngine ativado

Habilitar reescrita, este é o primeiro passo para habilitar regras de reescrita

ReescreverCond

Definir condições de reescrita

%{HTTP_REFERER}

É uma variável interna do Apache. Esta variável pode obter a URL nas informações do cabeçalho da mensagem de solicitação quando o usuário acessa.

Combine o valor do Referer na solicitação

!^http://www.e2.com/.*$

Qualquer arquivo no URL (.*: corresponde a um ou vários caracteres)

Indica que não corresponde a uma string começando com http://www.e2.com/ e terminando com um ou vários caracteres

[NC]

A filtragem não diferencia maiúsculas de minúsculas

Regra de reescrita

Definir regras de reescrita

.*.(gif|jpg|swf)$ http://www.e2.com/error.png

Quando a condição de reescrita anterior corresponder, se o URL solicitado terminar com .gif, .jpg ou .swf

Em seguida, a solicitação será redirecionada para http://www.e2.com/error.png

.*: corresponde a qualquer número de qualquer caractere

.: O ponto escapado pelo caractere de escape, aqui está o significado do ponto simples

Salve e saia, reinicie o serviço.

Por fim, chegamos ao host do cliente (Win10) para testar e evitar que a imagem seja armazenada em cache pelo navegador, então use as teclas de atalho Ctrl + Shift + Delete para limpar o cache do navegador.

Então visite www.e2.com e tudo funciona bem

Ao visitar www.e1.com, o link da imagem roubada se torna a imagem error.png redirecionada.

Perfil pessoal

Ele se dedica à pesquisa de tecnologia há mais de 30 anos e é proficiente em diversas linguagens como java, linux, javascript, php, css, etc. estação de documentação do desenvolvedor para compartilhar alguns problemas no desenvolvimento de tecnologia para referência futura.

minhas informações de contato

Correspondência